El tema de identidad digital soberana y descentralizada tiene que ver con una tecnología disruptiva como lo es el blockchain, ¿cómo funciona este sistema?, ¿en dónde están guardados nuestros datos?, ¿cuáles son los sistemas de seguridad que los resguarda?, ¿cuáles son las propuestas que han surgido alrededor del mundo para que los ciudadanos tengamos la capacidad de identificarnos de forma más ágil y segura?
¿Qué es la identidad?
En la escuela yo tenía un profesor que me decía quién eres, la respuesta evidente era: yo soy Carlos Valderrama, fundador de Legal Paradox, abogado, y la realidad es que ninguna de estas respuestas te dicen quién eres, responden solo a una parte de lo que eres, y lo que decía mi profesor de filosofía es que eres la suma de momentos que te han llevado ser quien eres al día de hoy. Es una respuesta profunda, pero para temas de identidad es qué es lo que en realidad te identifica, venir de una determinada familia, de un determinado gobierno, tu digital footprint. La identidad se refiere a la suma de atributos asociados y vinculados de manera directa a una persona, estos atributos pueden ser de diferentes características, físicas, sicológicas o digitales. Consideramos edad, estatura, biométricos, número de teléfono, correo, redes sociales y huellas digitales que vamos dejando en el ciberespacio.
Para la creación de la identidad digital se han generado diferentes protocolos, internet nace con un gran defecto, tiene diversas virtudes, pero un gran defecto en particular, no había manera específica para identificar a la persona o grupo de personas que estaban del otro lado de la pantalla, no había nada que pudiera ayudar a autenticar de manera clara y con certeza jurídica la identidad de la persona que está del otro lado de la pantalla.
“La identidad se refiere a la suma de atributos asociados y vinculados de manera directa a una persona, estos atributos pueden ser de diferentes características, físicas, sicológicas o digitales.”
Modelos de identidad digital
A lo largo de la historia se han utilizado cuatro modelos de identidad digital: SILOS, federado, centralizado y descentralizado.
En estos cuatro modelos tenemos ciertos participantes básicos:
- Usuario: la persona cuya identidad parcial está almacenada y desde donde se puede acceder a ciertos servicios.
- Proveedor de identidad: es el responsable del almacenamiento de la información de la entidad de un usuario dentro de un dominio y de la transferencia de información entre diferentes tipos de dominios.
- Proveedor de servicios: es el responsable de proveer un servicio específico en línea tomando como base el perfil que el usuario ha creado y ha sido recibido por el identificador.
“En los modelos de identidad se requieren de tres participantes básicos: usuario, proveedor de identidad y proveedor de servicios.”
Silos. En este modelo se involucran solo dos personas, el proveedor de servicios y el usuario, el primero brinda un usuario y contraseña a los clientes que desean recibir el servicio, por ejemplo, productos como Amazon, LinkedIn, Facebook, en donde creas una cuenta, te proporcionan un usuario o contraseña para acceder a una cantidad de servicios en línea. Es la modalidad más simple, no para identificar al usuario per se con toda su complejidad de identidad personal, sino para poner una cierta trazabilidad a las cosas que un usuario está solicitando cuando se le provee algún tipo de servicio o producto a través de internet.
Federado. Consiste en que solo habrá una idP (proveedor de identidad) que podrá utilizar un mismo servicio y contraseña para uno o más proveedores de servicio, esto es lo que se conoce como acceder a otras plataformas vía API, es decir, tú ya tienes en el de SILO, un usuario y contraseña con un proveedor de servicios específico que tiene cierta información tuya y en el modelo federado se utilizan las mismas credenciales para acceder a esta información vía API que diste de alta en el otro proveedor de servicio para acceder a otro tipo de información o servicios.
Por ejemplo, cuando tengo el acceso a una cuenta de Zoom a la cual puedo ingresar bajo el modelo de SILO creando un usuario o contraseña o bajo el modelo federado en donde le doy las claves de mi cuenta de Google y linkea de manera automática, extrayendo la información que yo tenía almacenada en Google. Esto proporciona que la relación sea establecida de manera contractual entre los proveedores de servicios y el idP para establecer una capacidad de conexión más rápida porque el usuario ya no tiene que realizar diversos procesos de onboarding y simplemente se basa en el modelo federado para acceder más rápido a productos y servicios en línea.
Como usuario debes validar a quién le das tu información, en el modelo de SILO tienes acceso a ciertos productos o servicios a través del proceso de onboarding donde proporcionas cierta información, nombre, correo, teléfono, pero hay cierto tipo de aplicaciones o servicios que hacen una recolección de datos de tu teléfono, no solo temas de geolocalización, sino qué tipo de dispositivo tienes, cuántas veces al día lo usas, si estás sentado o parado cuando la abres, de viaje, etc. Por eso antes de hacer un proceso de onboarding es recomendable revisar los términos de servicio de la plataforma y validar cuál es la información a la que va a acceder esa aplicación de tu dispositivo de manera directa. Cuando participas en el modelo federado le estás dando acceso a toda esta información que el prestador de servicio ya tenía, a prestadores diferentes, entonces debes ser consciente de que en cualquiera de los dos casos que debió ser solicitado tu consentimiento para el tratamiento de tus datos personales y de cuál va a ser el tratamiento que le darán. Porque si diste consentimiento a diestra y siniestra, sin tener en cuenta los términos y condiciones sobre qué tipo de información estás compartiendo, para qué la usan y a quién la transmiten, trata de adivinar, si es que existió alguna filtración de tus datos, quién fue el responsable.
Centralizado. En este modelo los proveedores de servicio pueden utilizar un mismo idP y no es necesario que exista una relación contractual entre estos, de esta manera el usuario es remitido a la página específica para generar la autenticación y luego la página y el idP generan la revelación de la información de la identidad del usuario al proveedor o prestador del servicio del que se trate. Se toma la decisión de acuerdo con los parámetros con los que se haya configurado la prestación de darle o no acceso al usuario, dependiendo si cumple o no con ciertas características.
Siempre va a haber una sola entidad que será la encargada de generar este proceso de digitalización de cara a los diferentes terceros y funciona cuando hay un grupo de personas que tiene una cierta afiliación para ofrecer servicios, una especie de ecosistemas, por ejemplo, la tienda de Apple o la de aplicaciones de Google, en donde existe un tercero que centraliza de alguna manera todos estos permisos y dependiendo de la información que subas y de, por ejemplo, si se genera o no el pago, puedes acceder a la prestación de servicios de terceros, dueños de diferentes tipos de aplicaciones que puedes descargar en tu teléfono. Estos modelos normalmente descansan en economías colaborativas en donde existe una plataforma que reúne oferta y demanda, de un lado están los usuarios que requieren de algún tipo de bien o servicio, y del otro lado hay un montón de ofertantes, la plataforma los reúne en un mismo lugar, accede a las credenciales y a la identidad del usuario para tener menos fricciones en las relaciones con el usuario y los terceros que forman parte de esta plataforma.
Estos tres modelos han generado una serie de problemas, en 2018 alrededor de mil millones de personas en el mundo carecían de algún método que pudiera crear una prueba plena de cuál era su identidad, lo que representa el 14 % de la población. Cada diez minutos nace un niño apátrida, el cual carece de servicios básicos por falta de documentación de identidad. También están los casos de refugiados y migrantes por temor de acercarse a los organismos de gobierno no tienen la parte de la identidad reconocida por una autoridad. Luego dentro del mundo digital ya fuiste hackeado y no lo sabes o serás hackeado, por lo que la ciberseguridad se vuelve fundamental, y con brechas de seguridad que cada día se cuentan por miles de millones, por ejemplo, puedes acceder a la Deep web a través de Thor en donde están disponibles cualquier cantidad de bases de datos en venta, dependiendo del tipo de dato es la cantidad que te cobra el hacker.
Dependiendo de los diferentes tipos de modelos, SILOS, federado o centralizado, siempre hay una parte de la ecuación que puede ser vulnerada y a la cual le pueden sustraer masivamente los datos de todos los usuarios que fueron registrados para esa plataforma específica. Como parte de la identidad te dan ciertos beneficios que pueden ser:
- Personales: conveniencia, utilidad, reducción de costos, inclusión financiera, experiencia del usuario.
- Sector público: mejor prestación de servicios, reducción de costos de personal, reducción de costos de prestación de servicios, incremento de la seguridad.
- Sector privado: oportunidades comerciales en ciberseguridad, oportunidades comerciales como proveedores de identidad, mayor accesibilidad a clientes, facilitación de procesos de onboarding. Todo parte de tener la certeza jurídica de con quién tiene una relación comercial jurídica.
Descentralizado. Como consecuencia se genera la propuesta de una identidad descentralizada en donde el individuo, el generador de datos, retoma la propiedad de los datos, los tiene controlados y los maneja a voluntad. Ya no existen las diferentes partes de la ecuación porque el usuario se vuelve el mismo proveedor de identidad y ya no existe un tercero que puede adjudicarse este carácter porque el mismo usuario tiene la identidad intrínseca que le corresponde por sí misma.
“En la identidad descentralizada el individuo, el generador de datos, retoma la propiedad de los datos, los tiene controlados y los maneja a voluntad.”
La identidad descentralizada se basa en los siguientes principios: existencia, control, transparencia, acceso, persistencia, portabilidad, interoperabilidad, consentimiento, minimización y protección.
¿Por qué es necesaria una identidad descentralizada?Como ya se había mencionado, internet carece de un protocolo de identificación y deja a los proveedores de servicio con la carga de identificar a los usuarios, la identidad digital autosoberana daría la posibilidad de tener en la palma de tu mano, en cualquier tipo de dispositivo, el acceso y almacenamiento de todos tus datos e información y la capacidad de poder compartirlos con cualquier tercero con base en los principios ya comentados.
Lo que propone la identidad descentralizada es que el usuario se convierta en el verdadero propietario de su identidad y de sus datos para conectarse con cualquier tercero de manera no presencial para que le presten algún servicio u otorgar algún tipo de bien. La identidad descentralizada que corre bajo la tecnología blockchain propone que exista un dominio descentralizado que almacene la información, que exista competa transparencia en función a qué tipo de información están accediendo, cuándo accedieron, y todo queda almacenado en la cadena de blockchain.
También que la información sea completamente accesible desde cualquier tipo de dispositivo; que sea evidentemente inmutable, es decir, una vez que conformo los diferentes elementos de mi identidad, no los pueda cambiar; que pueda tener un control distribuido de la información; y que pueda identificar de manera plena cuál es la procedencia de la información y tener una trazabilidad para las cuestiones de bridge en materia de ciberseguridad para ver exactamente cuál fue el flujo de información y cómo o quién tuvo una vulneración en sus sistemas que generó un descontrol.
Autentificación de los datos
Una de las formas más sencilla que utiliza la identidad descentralizada para autenticar es que en la medida en la que vayas construyendo el historial en tu wallet, existan validadores certificados, que podrían ser las mismas autoridades dependiendo del marco regulatorio, para que autoricen los diferentes atributos de tu identidad, de manera que estas certificaciones ya están suscritas de manera per se en tu wallet, y cuando quieres establecer esa relación vas a saber que esa información ya fue previamente validada o calificada por el tercero que es la autoridad correspondiente para hacerlo. Cada elemento tiene un tercero que califica y valida la información de tu identidad. También depende de donde vayas a usar este tipo de identidad, si la vas a usar en un circuito cerrado posiblemente los miembros de este circuito no necesariamente requieren de una validación oficial de un gobierno, si tiene mayores efectos jurídicos, se requiere el aval de la autoridad.
“Una de las formas más sencilla que utiliza la identidad descentralizada para autenticar datos es que en la medida en la que vayas construyendo el historial en tu wallet, existan validadores certificados que podrían ser las mismas autoridades.”
A nivel internacional hay diversas soluciones que aplican este tipo de identidad, existen diferentes casos de uso, finanzas, salud, que puede permitir a cualquier banco beneficiarse de un proceso KYC que ya fue realizado de manera previa por alguien más en un proceso de onboarding con la prevalidación. De esta manera se abaratan los costos y se van literalmente a cero porque el validador oficial generó el KYC. Una vez validado por el tercero, que puede ser el gobierno, ya tiene esa prevalidación.
Otro ejemplo es la aplicación David19, lanzado por un grupo de trabajo impulsado por el Banco Interamericano de Desarrollo. Lo que propone esta aplicación es que cada ciudadano pueda compartir de manera responsable si está o no vacunado, que funcione como una especie de pasaporte digital descentralizado y autosoberano en donde puedas darle acceso en distintos niveles a los actores con los que te vas a relacionar a partir de los principios antes mencionados.
En plataformas de e-commerce como Marketplace o Amazon podrían tener acceso a este tipo de identidad en la cual no solo se genere tantos mis datos como mi historial transaccional para recibir el servicio solicitado y crear portafolios o servicios alternativos con base en licencias específicas, partiendo de la idea de que yo como portador y originador de mis datos permití el acceso a estas plataformas para darme servicios específicos y a la medida.
En el futuro estaremos echando mano de este tipo de identidad para construir cualquier forma de relación, tendremos identidad digital autosoberana descentralizada con contratos inteligentes o inteligencia artificial, vamos a tener productos y servicios enfocados en nuestras necesidades y la interacción entre dispositivo y cualquier cosa que yo quiera comprar o servicio que quiero recibir, será de manera directa y automática, facilita para la experiencia del usuario y de la interfaz, y vuelve de vital importancia el comercio y la recuperación económica.
En México existe una ley cuyos principios están basados en la identidad descentralizada y autosoberana, y que podría, con base en el principio de neutralidad tecnológica, aplicarse una solución de estas características. Este tipo de solución puede ser aplicable para identificación ciudadana a nivel gubernamental, sería un gran avance porque las bases de datos no estarían centralizadas en un solo órgano, sino descentralizadas en cada uno de nuestros dispositivos. Lo que se almacenaría sería la validación en el dispositivo y se podría transaccionar con el resto del mundo. Esto llevaría a la completa disminución de riesgos de seguridad tecnológicos porque para acceder a mis datos o cualquier tipo de información, tendrían que hackear mi dispositivo, que se podría hacer, pero el riesgo no es el mismo de acceder a miles de millones de ciudadanos a acceder a uno solo.
“Este tipo de solución puede ser aplicable para identificación ciudadana a nivel gubernamental, sería un gran avance porque las bases de datos no estarían centralizadas en un solo órgano, sino descentralizadas en cada uno de nuestros dispositivos.”
Hay esfuerzos desde diferentes dependencias del gobierno para tratar de crear una cédula de identificación digital, esta es una nueva manera de hacerlo con la cual se reduce la desconfianza de los ciudadanos, se despolitiza la construcción de la identidad y se le da el poder al ciudadano de irla construyendo con los diferentes validadores que pueden ser las mismas autoridades gubernamentales dejando el control y uso de estos datos al originador y dueño de la información. Incluso a partir de esta información hay protocolos, por ejemplo, el Zero Knowledge Proof (ZKP) o protocolo de información cero de prueba con el cual puedes comprobar un cierto hecho o un cierto acto a través de operaciones matemáticas sin la necesidad de dar a conocer la información subyacente, todo esto a través de la identidad digital descentralizada autosoberana.
Apenas estamos viendo los primeros impactos que se tienen con respecto a estas nuevas posibilidades. En caso de robo del dispositivo, se tienen mecanismos para acceder al dispositivo, por ejemplo, el SILO de usuario y contraseña para acceder al dispositivo, incluso factores de doble autenticación. En 2017 llevé a cabo una asesoría legal con un protocolo de identidad digital autosoberana descentralizada denominado Uport que terminó siendo de código abierto utilizado por el gobierno de Estonia. Estas propuestas tampoco solucionan todos los problemas, se trata de una solución en donde existe una interacción entre personas que no están necesariamente presentes o al lado y donde no es necesario que confíen entre ellas porque simplemente confías en el código y en que el sistema funcione para lo que está programado, que tú puedes acceder al código y sabes exactamente lo que va a hacer, lo que genera un nuevo mecanismo de transparencia y trazabilidad e inmutabilidad que puede ser aplicado literalmente a cualquier sector.
Entrevista con Carlos Valderrama, fundador de Legal Paradox, conducida por Janet Huerta para Abogado Digital.
Carlos Valderrama, fundador de Legal Paradox.
